Linux yum更新策略是什么

Linux yum更新策略概览

一 策略的核心维度

• 更新范围与命令选择：日常可用yum update/upgrade全量升级；只关心安全时，用yum --security upgrade或配合yum updateinfo按RHSA/CVE精准更新。RHEL/CentOS 7 上两者差异很小，生产上更常用upgrade；变更前建议先检查可升级包与更新类型。
• 更新节奏与自动化：可通过yum-cron按天/小时执行，策略由**/etc/yum/yum-cron.conf与/etc/yum/yum-cron-hourly.conf定义；也可使用crontab**定时执行 yum 命令。
• 变更风险控制：对稳定性敏感的场景可排除内核等包（如exclude=kernel*）；更新后可用yum history undo/rollback回退；定期查看**/var/log/yum.log**审计变更。

二 推荐的更新策略模板

• 安全优先（生产常用）：仅自动安装安全补丁。配置yum-cron.conf：update_cmd=security，apply_updates=yes，并开启download_updates=yes与通知；如需邮件告警，设置emit_via=email、email_from、email_to。
• 全面自动（测试/非关键环境）：配置update_cmd=upgrade，apply_updates=yes；按需设置exclude排除kernel*等敏感包，降低重启与兼容性风险。
• 手动审批（严格变更窗口）：日常仅运行yum check-update与yum updateinfo评估；按RHSA/CVE/BUG分批更新，使用**yum update --advisory=…/–cves=…/–bz=…**精确落地，并在变更窗口内执行与回滚验证。

三 关键配置与常用命令

• 配置文件与开关
  • /etc/yum/yum-cron.conf：update_cmd（default/security/minimal 等）、apply_updates（是否自动安装）、download_updates（是否仅下载）、update_messages（是否输出信息）、emit_via/email_from/email_to（通知方式）。
  • /etc/yum.conf：exclude=kernel*（按需排除内核）；installonly_limit=5（保留多个内核版本，便于回退）。
• 常用命令
  • 评估与清单：yum check-update；yum updateinfo list --security/–bugfix；按公告/漏洞更新：yum update --advisory=RHSA-…/–cves=CVE-…/–bz=…。
  • 执行与回滚：yum update/upgrade；yum history查看历史，**yum history undo **回退。
  • 日志与审计：tail -f /var/log/yum.log持续观察。

四 不同系统的差异与注意

• RHEL/CentOS 7 vs 6
  • 7：使用yum-cron服务管理，配置集中在**/etc/yum/yum-cron.conf与/etc/yum/yum-cron-hourly.conf**；邮件通知通过emit_via=email等参数。
  • 6：除 yum-cron 外，还可通过**/etc/sysconfig/yum-cron设置CHECK_ONLY/DOWNLOAD_ONLY与MAILTO**实现“只检查/只下载/邮件通知”。
• 发行版安全分级
  • Alibaba Cloud Linux将安全更新按CVSSv3分为Critical/Important/Moderate/Low，可用**yum updateinfo --sec-severity=…**按级别筛选更新。